JP2011257901A - Analysis system, analyzer, analysis method and analysis program - Google Patents
Analysis system, analyzer, analysis method and analysis program Download PDFInfo
- Publication number
- JP2011257901A JP2011257901A JP2010130722A JP2010130722A JP2011257901A JP 2011257901 A JP2011257901 A JP 2011257901A JP 2010130722 A JP2010130722 A JP 2010130722A JP 2010130722 A JP2010130722 A JP 2010130722A JP 2011257901 A JP2011257901 A JP 2011257901A
- Authority
- JP
- Japan
- Prior art keywords
- connection destination
- connection
- permitted
- malware
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、解析システム、解析装置、解析方法及び解析プログラムに関する。 The present invention relates to an analysis system, an analysis apparatus, an analysis method, and an analysis program.
従来、コンピュータウイルスやスパイウェアといった不正なコンピュータプログラムが知られている。このような、不正プログラムはマルウェア(Malware)とも呼ばれている。近年、マルウェアによる被害を低減させるために、マルウェアに関する種々の解析が行われている。 Conventionally, unauthorized computer programs such as computer viruses and spyware are known. Such malicious programs are also called malware. In recent years, various analyzes relating to malware have been performed in order to reduce damage caused by malware.
例えば、コンピュータがマルウェアに感染した場合に、どのような通信を発生させるのか、または、コンピュータの内部資源にどのような影響を及ぼすのかなどを調べるための解析が行われている。なお、内部資源とは、例えば、不揮発性記憶媒体、揮発性記憶媒体及びそれら記憶媒体によって記憶されるデータなどである。上述したような解析を実行するための手法としては、例えば、マルウェアをコンピュータ内で実際に動作させて挙動を解析する動的解析手法が知られている。 For example, when a computer is infected with malware, an analysis for examining what kind of communication is generated or what effect is exerted on the internal resources of the computer is performed. The internal resources are, for example, a nonvolatile storage medium, a volatile storage medium, and data stored by these storage media. As a method for executing the analysis as described above, for example, a dynamic analysis method for analyzing behavior by actually operating malware in a computer is known.
しかしながら、上述した従来技術では、ネットワークからの応答を要するマルウェアの挙動を安全に解析することができないという問題があった。 However, the above-described conventional technology has a problem that it is not possible to safely analyze the behavior of malware that requires a response from the network.
具体的には、上述した従来技術は、安全性を担保するために、コンピュータがネットワークから隔離された環境下で実行される。しかしながら、マルウェアには、コンピュータがネットワークに接続された環境下で脅威をもたらすものが存在する。例えば、上述したマルウェアとしては、ネットワーク上に存在する攻撃者からの命令を受信することにより脅威が顕在化する「ボット」や、他のマルウェアをネットワーク上からダウンロードする「ダウンローダ」などが知られている。 Specifically, the above-described prior art is executed in an environment where a computer is isolated from a network in order to ensure safety. However, some malware poses a threat in an environment where computers are connected to a network. For example, as the above-mentioned malware, there are known “bots” that make threats manifest by receiving instructions from attackers that exist on the network, “downloaders” that download other malware from the network, etc. Yes.
そのようなマルウェアに対して、コンピュータがネットワークから隔離された環境下で解析が実行されたとしても、良好な解析結果を得ることは困難である。従って、コンピュータがネットワークに接続された環境下で挙動を解析する動的解析手法が実行されることが望ましい。しかしながら、コンピュータがネットワークに接続された環境下で動的解析手法が実行された場合には、ネットワーク上に存在する攻撃者や他のマルウェアを含む悪性の接続先との通信だけではなく、他の正規の接続先との通信を許容することとなる。例えば、解析対象のマルウェアがネットワークに接続された他の正規の接続先に対して攻撃する場合もある。すなわち、上述した従来技術では、ネットワークからの応答を要するマルウェアの挙動を安全に解析することができない。 Even if such a malware is analyzed in an environment where the computer is isolated from the network, it is difficult to obtain a good analysis result. Therefore, it is desirable to execute a dynamic analysis method for analyzing behavior in an environment where a computer is connected to a network. However, when the dynamic analysis method is executed in an environment where the computer is connected to the network, not only communication with malicious connections including attackers and other malware existing on the network, Communication with a regular connection destination is permitted. For example, the analysis target malware may attack other legitimate connection destinations connected to the network. In other words, the above-described conventional technology cannot safely analyze the behavior of malware that requires a response from the network.
そこで、本開示の技術は、上述した従来技術の問題を鑑みて、ネットワークからの応答を要するマルウェアの挙動を安全に解析することを可能とする解析システム、解析装置、解析方法及び解析プログラムを提供することを目的とする。 In view of the above-described problems of the prior art, the technology of the present disclosure provides an analysis system, an analysis device, an analysis method, and an analysis program that can safely analyze the behavior of malware that requires a response from the network. The purpose is to do.
上述した課題を解決し、目的を達成するため、開示のシステムは、不正プログラムの挙動を解析する解析装置と、ネットワークに接続された接続先に関する情報を記憶するデータベースとを含む解析システムであって、解析装置における実行手段がコンピュータ内で不正な動作を行う不正プログラムを実行する。そして、判定手段が実行手段によって実行された不正プログラムが接続を要求する接続先に関する情報をデータベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する。そして、応答処理手段が判定手段により接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って不正プログラムに対する応答を取得する。 In order to solve the above-described problems and achieve the object, the disclosed system is an analysis system including an analysis device that analyzes the behavior of a malicious program, and a database that stores information about connection destinations connected to a network. The execution means in the analysis device executes an illegal program that performs an illegal operation in the computer. Then, the determination means inquires of the database about information on the connection destination to which the unauthorized program executed by the execution means requests connection, and whether or not the connection destination is a connection destination permitted to communicate based on the result of the inquiry. judge. When the response processing unit determines that the connection destination is a connection destination permitted to communicate, the response processing unit communicates with the connection destination to obtain a response to the malicious program.
開示のシステムは、ネットワークからの応答を要するマルウェアの挙動を安全に解析することを可能にする。 The disclosed system makes it possible to safely analyze the behavior of malware that requires a response from the network.
以下に添付図面を参照して、本願の開示する解析システム、解析方法及び解析プログラムの実施例を詳細に説明する。なお、本願の開示する解析システム、解析方法及び解析プログラムは、以下の実施例により限定されるものではない。 Exemplary embodiments of an analysis system, an analysis method, and an analysis program disclosed in the present application will be described below in detail with reference to the accompanying drawings. The analysis system, the analysis method, and the analysis program disclosed in the present application are not limited to the following examples.
実施例1に係る解析システムは、不正プログラムによって要求された接続先が悪性の接続先か正規の接続先かを判定する。そして、実施例1に係る解析システムは、接続先が悪性の接続先であった場合に、接続先と通信を行って不正プログラムに対する応答を取得することでネットワークからの応答を要する不正プログラムの挙動を解析する。なお、不正プログラムとは、例えば、コンピュータウイルスやスパイウェアなどである。また、以下では、不正プログラムをマルウェアと記載する場合がある。また、悪性の接続先とは、例えば、ダウンローダによってダウンロードされるマルウェアを記憶するホストや、攻撃者がマルウェアに対する命令を記憶させたホストである。一方、正規の接続先とは、ダウンローダによってダウンロードされるマルウェアやマルウェアに対する命令などを記憶していないホストである。 The analysis system according to the first embodiment determines whether the connection destination requested by the malicious program is a malicious connection destination or a regular connection destination. In the analysis system according to the first embodiment, when the connection destination is a malicious connection destination, the behavior of the malicious program that requires a response from the network by communicating with the connection destination and acquiring a response to the malicious program. Is analyzed. The malicious program is, for example, a computer virus or spyware. In the following, a malicious program may be described as malware. The malignant connection destination is, for example, a host that stores malware downloaded by a downloader or a host that stores an instruction for malware by an attacker. On the other hand, the legitimate connection destination is a host that does not store malware downloaded by the downloader or instructions for the malware.
具体的には、実施例1に係る解析システムは、不正プログラムの挙動を解析する解析装置と、ネットワークに接続された接続先に関する情報を記憶するデータベースとを含む解析システムである。実施例1に係る解析システムは、コンピュータ内で不正な動作を行う不正プログラムを実行する。そして、実施例1に係る解析システムは、実行した不正プログラムが接続を要求する接続先に関する情報をデータベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する。そして、実施例1に係る解析システムは、接続先が通信を許可された接続先であると判定した場合に、当該接続先と通信を行って不正プログラムに対する応答を取得する。 Specifically, the analysis system according to the first embodiment is an analysis system that includes an analysis device that analyzes the behavior of a malicious program and a database that stores information about connection destinations connected to a network. The analysis system according to the first embodiment executes an unauthorized program that performs an unauthorized operation in a computer. Then, the analysis system according to the first embodiment inquires of the database about information on a connection destination to which the executed malicious program requests connection, and based on the result of the inquiry, whether or not the connection destination is a connection destination permitted to communicate. Determine whether. When the analysis system according to the first embodiment determines that the connection destination is a connection destination permitted to communicate, the analysis system communicates with the connection destination to obtain a response to the malicious program.
従って、実施例1に係る解析システムは、ネットワーク上の悪性の接続先を特定することで、正規の接続先との通信は行わず、悪性の接続先との通信のみを行うことができる。すなわち、実施例1に係る解析システムによれば、例えば、ネットワークに接続された正規の接続先に対してマルウェアが攻撃することを防止しつつ、悪性の接続先と通信を行うマルウェアの挙動解析を行うことができ、ネットワークからの応答を要するマルウェアの挙動を安全に解析することが可能になる。例えば、実施例1に係る解析システムによれば、インターネットで通常利用されているプロトコルであるHTTP(Hypertext Transfer Protocol)を用いて攻撃者からの命令を受け取ったり、他のマルウェアをダウンロードしたりするマルウェアの挙動を安全に解析することができる。 Therefore, the analysis system according to the first embodiment can perform communication only with a malignant connection destination without specifying communication with a normal connection destination by specifying a malignant connection destination on the network. That is, according to the analysis system according to the first embodiment, for example, malware behavior analysis that communicates with a malignant connection destination while preventing malware from attacking a regular connection destination connected to the network is performed. It is possible to safely analyze the behavior of malware that requires a response from the network. For example, according to the analysis system according to the first embodiment, malware that receives an instruction from an attacker or downloads other malware using HTTP (Hypertext Transfer Protocol), which is a protocol normally used on the Internet. Can be safely analyzed.
[実施例1に係る解析システムの構成]
実施例1に係る解析システム400の構成について説明する。図1は、実施例1に係る解析システム400の構成の一例を示す図である。図1に示すように、解析システム400は、マルウェアの挙動を解析する解析装置100と、ネットワーク300に接続された接続先に関する情報を記憶するデータベースを有する検索サーバ200とを含んでいる。そして、解析システム400は、解析装置100及び検索サーバ200が、ネットワーク300を介して接続先101〜103と接続されている。接続先101〜103は、解析装置100において実行されるマルウェアによって要求される通信の接続先である。例えば、接続先101〜103は、ネットワーク300に接続された所定のホストや、或いは、ホストに記憶されている所定のコンテンツなどである。例を挙げれば、接続先101〜103は、悪性又は正規のホストやコンテンツなどである。
[Configuration of Analysis System According to Example 1]
A configuration of the
検索サーバ200は、図1に示すように、通信制御I/F部210と、データベース220と、処理部230とを有する。通信制御I/F部210は、解析装置100と検索サーバ200との通信を制御するインタフェースである。データベース220は、処理部230によって実行される検索エンジン用のデータを記憶する。処理部230は、後述する解析装置100が発したコマンドを実行する。例えば、処理部230は、後述する解析装置100から指定された接続先がデータベース220に記憶されているか否かを検索エンジンにより検索する。なお、検索サーバ200による処理については、後に詳述する。
As illustrated in FIG. 1, the
解析装置100は、図1に示すように、入出力制御I/F部10と、入力部20と、表示部30と、通信部40と、解析データ記憶部51と、許可リスト記憶部52と、データ処理部61と、マルウェア実行部62と、接続判定部63と、応答処理部64とを有している。なお、解析装置100は、例えば、PC(Personal computer)、ワークステーション又は解析用の専用装置である。また、解析データ記憶部51及び許可リスト記憶部52は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子、または、ハードディスク、光ディスクなどの記憶装置である。また、データ処理部61、マルウェア実行部62、接続判定部63及び応答処理部64は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路、または、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路である。また、図1においては、3つの接続先と1つの検索サーバとを示しているが、実際には、さらに多数の接続先と検索サーバとがネットワーク300を介して解析装置100と接続されている。
As shown in FIG. 1, the
入出力制御I/F部10は、入力部20、表示部30、通信部40と接続判定部63及び応答処理部64との間での各種情報のやり取りを制御するインタフェースである。入力部20は、例えば、解析者による種々の情報の入力処理を受付ける。例えば、入力部20は、キーボードやタッチパネルなどである。表示部30は、例えば、解析者に対して解析結果を表示出力する。例えば、表示部30は、ディスプレイなどである。
The input / output control I /
通信部40は、解析装置100と接続先101〜103との間、及び、解析装置100と検索サーバ200との間の通信を制御する。解析データ記憶部51は、解析装置100によって解析されたマルウェアの情報を記憶する。例えば、解析データ記憶部51は、マルウェアの種類や挙動などを記憶する。
The
許可リスト記憶部52は、マルウェアの動作の対象として事前に通信が許可された接続先の情報を記憶する。具体的には、許可リスト記憶部52は、解析者が入力部20を介して予め入力したり、過去の解析において通信が許可されたりした接続先の情報である許可リストを記憶する。図2は、許可リスト記憶部52によって記憶されたデータの一例を示す図である。
The permission
図2に示すように、許可リスト記憶部52は、ホスト名及びIP(Internet Protocol)アドレスを含む許可リストを記憶する。ここで、図2のホスト名とは、ネットワーク300に接続されたホストのFQDN(Fully Qualified Domain Name)を意味している。また、図2に示すIPアドレスとは、ネットワーク300に接続されたホストのIPアドレスを意味している。例えば、許可リスト記憶部52は、図2に示すように、「ホスト名:aaa.bbb.ccc.com、ddd.eee.fff.com」を記憶する。また、許可リスト記憶部52は、図2に示すように、「IPアドレス:111.222.333.444、555.666.777.888」を記憶する。
As shown in FIG. 2, the permission
図1に戻って、データ処理部61は、解析装置100が解析したマルウェアの情報を解析データ記憶部51に格納したり、解析結果を表示部30に表示させたりする。マルウェア実行部62は、コンピュータ内で不正な動作を行うマルウェアを実行する。具体的には、マルウェア実行部62は、解析者によって入力されたり、ネットワーク上から取得されたりした解析対象のマルウェアに動作を実行させ、実行させたマルウェアによって要求された各種情報を後述する応答処理部64に転送する。例えば、マルウェア実行部62は、実行させたマルウェアによって要求された接続先102の情報として「FQDN:www.malware.com」を応答処理部64に転送する。
Returning to FIG. 1, the
接続判定部63は、マルウェアによって要求された接続先に関する情報が許可リスト記憶部52によって記憶されていた場合に、当該接続先を通信が許可された接続先と判定する。また、接続判定部63は、マルウェア実行部62によって実行されたマルウェアが接続を要求する接続先に関する情報をデータベース220に問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する。具体的には、接続判定部63は、接続先のIPアドレス又はFQDNを接続先の情報としてデータベース220に問い合わせ、当該IPアドレス又はFQDNがデータベース220によって記憶されていなかった場合に、当該接続先を通信が許可された接続先と判定する。また、接続判定部63は、データベース220によって接続先のIPアドレス又はFQDNが記憶されていた場合には、当該接続先にリンクを形成している他の接続先の数をデータベース220にさらに問い合わせ、他の接続先の数が所定の閾値以下であった場合には、当該接続先を通信が許可された接続先と判定する。さらに、接続判定部63は、接続先に関する情報がデータベース220によって記憶されており、かつ、接続先にリンクを形成している他の接続先の数が所定の閾値を超えていた場合には、接続先を通信が許可されていない接続先と判定する。
When the information related to the connection destination requested by the malware is stored in the permission
より具体的には、接続判定部63は、マルウェア実行部62によって実行されたマルウェアが接続を要求する接続先の情報を後述する応答処理部64を介して受信すると、まず、受信した情報が許可リスト記憶部52によって記憶されているか否かを判定する。例えば、接続判定部63は、応答処理部64から受信した接続先102の「FQDN:www.malware.com」が図2に示す許可リストに含まれているか否かを判定する。
More specifically, when the
ここで、マルウェアによって要求された接続先の情報が許可リストに含まれていた場合には、接続判定部63は、マルウェアによって要求された接続先が通信を許可された接続先であると判定する。例えば、「FQDN:www.malware.com」が許可リストに含まれていた場合には、接続判定部63は、接続先102を通信が許可された接続先として判定する。
Here, when the information on the connection destination requested by the malware is included in the permission list, the
一方、マルウェアによって要求された接続先の情報が許可リストに含まれていなかった場合には、接続判定部63は、接続先の情報を検索サーバ200に送信する。そして、接続判定部63は、送信した接続先の情報がデータベース220によって記憶されているか否かを検索サーバ200に検索させる。例えば、「FQDN:www.malware.com」が許可リストに含まれていなかった場合には、接続判定部63は、「www.malware.com」を検索サーバ200に送信する。そして、接続判定部63は、検索サーバ200に「www.malware.com」の検索を実行させる。
On the other hand, when the connection destination information requested by the malware is not included in the permission list, the
図3は、検索サーバ200による検索の一例を模式的に示す図である。図3においては、検索サーバ200が「www.malware.com」のサイト検索を実行した検索結果を示している。例えば、検索サーバ200は、図3に示すように、「www.malware.com」のサイト検索を実行して、「site:www.malware.comに一致する情報は見つかりませんでした」とする検索結果を得る。そして、検索サーバ200は、得られた検索結果を接続判定部63に送信する。なお、図3では、検索サーバ200において実行される検索エンジンを用いたサイト検索を検索サイト「AAA」として示している。また、図3は検索サーバが提供しているGUI(Graphical User Interface)を介した場合の例であるが、GUIを用いずに、検索サーバが提供しているAPI(Application Program Interface)を用いて接続先の情報を問い合わせ、XML(Extensible Markup Language)等の形式でその結果を受け取ってもよい。
FIG. 3 is a diagram schematically illustrating an example of a search performed by the
そして、接続判定部63は、接続先の情報がデータベース220に記憶されていなかった場合には、接続先を通信が許可された接続先として判定する。例えば、図3に示すように、「www.malware.com」と一致する接続先がデータベース220に記憶されていなかった場合には、接続判定部63は、接続先102を通信が許可された接続先であると判定する。
Then, if the connection destination information is not stored in the
この検索エンジンを用いた接続先の判定は、正規の接続先および悪性の接続先が検索エンジンのデータベースに与える特徴を利用したものである。ここで、正規の接続先および悪性の接続先がデータベースに与える特徴について説明する。 The determination of the connection destination using this search engine uses characteristics that the regular connection destination and the malignant connection destination give to the database of the search engine. Here, characteristics of the regular connection destination and the malignant connection destination given to the database will be described.
まず、マルウェアが実行された場合に確認されるネットワークへのアクセスには、正規の接続先へのアクセス及び悪性の接続先へのアクセスがある。例えば、正規の接続先へのアクセスは、マルウェアが解析環境で動作しているかどうか、すなわち、接続確認を行うため、もしくは、マルウェアが攻撃を実施するために実行される。マルウェアが正規の接続先を接続確認に悪用する場合には、有名な接続先が用いられる頻度が高い。従って、検索エンジンを判定に用いることで、マルウェアがアクセスしようとしている正規の接続先がヒットする可能性が極めて高い。また、マルウェアが正規の接続先を攻撃しようとした場合には、攻撃ターゲットの選定に検索エンジンが用いられる頻度が高い。従って、攻撃対象となる正規の接続先を検索エンジンで探し出すことが可能である。 First, access to a network that is confirmed when malware is executed includes access to a regular connection destination and access to a malicious connection destination. For example, access to a legitimate connection destination is executed to check whether the malware is operating in the analysis environment, that is, to check the connection or to carry out the attack by the malware. When malware uses a legitimate connection destination for connection confirmation, a famous connection destination is frequently used. Therefore, by using the search engine for the determination, there is a high possibility that the legitimate connection destination that the malware is trying to access hits. Further, when malware tries to attack a legitimate connection destination, a search engine is frequently used to select an attack target. Therefore, it is possible to search for a legitimate connection destination to be attacked with a search engine.
一方、悪性の接続先へのアクセスは、攻撃者から命令を受け取るため、もしくは、別のマルウェアをダウンロードするために実行される。ここで、悪性の接続先は、他の接続先からリンクを張られることが少ないため、検索エンジンのデータベースに登録されるまでに時間を要する。または、悪性の接続先はデータベースに登録されることがない。すなわち、正規の接続先は、検索エンジン用のデータベースに登録されている可能性が極めて高い。一方、悪性の接続先は検索エンジン用のデータベースに登録されている可能性が低い。従って、実施例1に係る解析システム400は、マルウェアが通信を試みる接続先と一致する接続先がデータベース220に登録されていない場合に通信を許可することで、正規の接続先との通信を行わずに、悪性の接続先との通信のみを実行することを可能にする。例えば、実施例1に係る解析システム400は、正規のホストとの通信や正規のコンテンツに関わる通信を行わずに、悪性のホストとの通信や悪性のコンテンツに関わる通信のみを実行する。
On the other hand, access to a malicious connection destination is executed to receive a command from an attacker or to download another malware. Here, since a malignant connection destination is rarely linked from other connection destinations, it takes time to be registered in the database of the search engine. Or, the malicious connection destination is not registered in the database. That is, there is a high possibility that the regular connection destination is registered in the database for the search engine. On the other hand, it is unlikely that a malicious connection destination is registered in a search engine database. Therefore, the
ここで、仮に、接続先の情報がデータベース220に記憶されていた場合には、接続判定部63は、次の判定処理を実行する。具体的には、接続判定部63は、接続先の被リンク数の検索を検索サーバ200に実行させる。すなわち、接続判定部63は、接続先が他の接続先からどの程度リンクされているかを検索サーバ200に検索させる。そして、接続判定部63は、接続先の被リンク数が所定の閾値以下であった場合には、通信が許可された接続先であると判定する。
Here, if the connection destination information is stored in the
図4は、検索サーバ200によるリンク検索の一例を模式的に示した図である。図4においては、検索サーバ200が「www.malware.com」のリンク検索を実行した検索結果を示している。図4の検索サイトとは、検索サーバ200が用いた検索エンジンを意味している。また、図4の被リンク数とは、接続先をリンクしている他のコンテンツの数を意味している。例えば、検索サーバ200は、図4に示すように、「www.malware.com」のリンク検索を実行して、「検索サイト:AAA、被リンク数:2」とする検索結果を得る。そして、検索サーバ200は、得られた検索結果を接続判定部63に送信する。
FIG. 4 is a diagram schematically illustrating an example of a link search performed by the
接続判定部63は、検索結果を受信すると、被リンク数が所定の閾値以下であるか否かを判定する。そして、接続判定部63は、被リンク数が所定の閾値以下であった場合に、接続先を通信が許可された接続先と判定する。例えば、所定の閾値が「5」であった場合には、図4に示す検索結果において被リンク数が「2」であることから、接続判定部63は、「www.malware.com」を示す接続先102を通信が許可された接続先であると判定する。一方、仮に、被リンク数が所定の閾値を越えていた場合には、接続判定部63は、接続先を通信が許可されていない接続先であると判定する。
When receiving the search result, the
この被リンク数を用いた判定においても、正規の接続先及び悪性の接続先が検索エンジンのデータベースに与える特徴を利用している。具体的には、正規の接続先に対してリンクを張る他の接続先は多数存在するのに対して、悪性の接続先に対してリンクを張っている他の接続先はほとんどない。従って、悪性の接続先の被リンク数は、正規の接続先と比較して、極めて少なくなる。本実施例では、このような特徴を利用して正規の接続先であるか悪性の接続先であるかを判定している。 In the determination using the number of links, the characteristics that the regular connection destination and the malignant connection destination give to the database of the search engine are used. Specifically, there are many other connection destinations that establish links to regular connection destinations, while there are few other connection destinations that establish links to malicious connection destinations. Therefore, the number of linked destinations of malignant connection destinations is extremely small compared to regular connection destinations. In the present embodiment, such a feature is used to determine whether the connection destination is a regular connection or a malignant connection.
図1に戻って、応答処理部64は、接続判定部63により接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行ってマルウェアに対する応答を取得する。また、応答処理部64は、接続判定部63により接続先が通信を許可されていない接続先であると判定された場合には、マルウェアに対する応答を生成し、生成した応答をマルウェアに転送する。
Returning to FIG. 1, when the
具体的には、応答処理部64は、接続先が通信を許可された接続先であると判定された場合には、マルウェア実行部62により実行されたマルウェアが要求する接続先との通信を行い、接続先とのデータの送受信を実行する。図5は、接続先が通信を許可された接続先である場合の応答処理部64による処理の一例を示す図である。図5においては、マルウェアにより接続が要求された接続先102を接続判定部63が通信を許可する接続先であると判定した場合の応答処理部64による処理を示している。図5に示すように、接続先102が通信を許可する接続先であると判定された場合には、応答処理部64は、マルウェア実行部62が実行したマルウェアによって生成されたマルウェアの通信データ「0010101110」を接続先102に送信する。そして、応答処理部64は、マルウェアの通信データに対する応答として接続先102が生成した応答データ「1100111110」を受信する。そして、応答処理部64は、受信した応答データ「1100111110」をマルウェア実行部62に転送する。
Specifically, the
一方、接続先が通信を許可しない接続先であると判定された場合には、応答処理部64は、マルウェア実行部62により実行されたマルウェアが要求する接続先との通信を行わない。ここで、応答処理部64は、マルウェアに対する応答を生成して、生成したデータをマルウェア実行部62に送信する。図6は、接続先が通信を許可しない接続先である場合の応答処理部64による処理の一例を示す図である。図6においては、マルウェアにより接続が要求された接続先103を接続判定部63が通信を許可しない接続先であると判定した場合の応答処理部64による処理を示している。図6に示すように、接続先103が通信を許可しない接続先であると判定された場合には、応答処理部64は、マルウェア実行部62から受信したマルウェアの通信データ「1110100001」に対するダミーデータとして応答データ「1010110101」を生成する。そして、応答処理部64は、生成した応答データ「1010110101」をマルウェア実行部62に送信する。
On the other hand, when it is determined that the connection destination is a connection destination that does not permit communication, the
なお、上述した実施例1においては、接続先の判定するための検索にFQDNを用いる場合について説明したが、本実施例はこれに限定されるものではなく、例えば、IPアドレスを用いる場合であってもよい。また、マルウェアから受信したIPアドレスを、DNS(Domain Name System)サーバに問い合わせることで取得されるドメイン名を用いる場合であってもよい。また、マルウェアから受信したFQDNを、DNS(Domain Name System)サーバに問い合わせることで取得されるIPアドレスを用いる場合であってもよい。 In the above-described first embodiment, the case where the FQDN is used for the search for determining the connection destination has been described. However, the present embodiment is not limited to this, for example, the case where the IP address is used. May be. Moreover, the case where the domain name acquired by inquiring a DNS (Domain Name System) server about the IP address received from the malware may be used. Moreover, the case where the IP address acquired by inquiring a DNS (Domain Name System) server about FQDN received from the malware may be used.
[実施例1に係る解析システムによる判定処理の手順]
次に、実施例1に係る解析システム400による判定処理の手順を説明する。図7は、実施例1に係る解析システム400による判定処理の手順を示すフローチャートである。図7に示すように、実施例1に係る解析システム400においては、接続判定部63が接続先のIPアドレス又はFQDNを受信すると(ステップS101肯定)、受信した接続先のIPアドレス又はFQDNが許可リストに含まれているか否かを判定する(ステップS102)。
[Procedure of determination processing by analysis system according to embodiment 1]
Next, a procedure of determination processing by the
ここで、接続先のIPアドレス又はFQDNが許可リストに含まれていない場合には(ステップS102否定)、接続判定部63は、検索エンジンに問い合わせ(ステップS103)、一致する接続先が見つかったか否かを判定する(ステップS104)。具体的には、接続判定部63は、検索サーバ200に対して、接続先のIPアドレス又はFQDNの検索を実行させ、接続先のIPアドレス又はFQDNと同一のホストがデータベース220に記憶されているか否かを判定する。
Here, when the IP address or FQDN of the connection destination is not included in the permission list (No at Step S102), the
ここで、一致する接続先が見つかった場合には(ステップS104肯定)、接続判定部63は、接続先のホストの被リンク数が所定の値よりも大きいか否かを判定する(ステップS105)。ここで、接続先のホストの被リンク数が所定の値よりも大きい場合には(ステップS105肯定)、接続判定部63は、通信を許可しない接続先と判定して(ステップS106)、処理を終了する。すなわち、接続判定部63は、接続先を正規の接続先と判定して処理を終了する。
If a matching connection destination is found (Yes at Step S104), the
一方、接続先のIPアドレス又はFQDNが許可リストに含まれていた場合(ステップS102肯定)、接続先と一致する接続先が見つからなかった場合(ステップS104否定)及び接続先のホストの被リンク数が所定の値以下であった場合(ステップS105否定)には、接続判定部63は、通信を許可する接続先と判定して(ステップS107)、処理を終了する。すなわち、接続判定部63は、接続先を悪性の接続先と判定して処理を終了する。なお、接続先のIPアドレス又はFQDNを受信するまで、接続判定部63は待機状態である(ステップS101否定)。
On the other hand, when the IP address or FQDN of the connection destination is included in the allow list (Yes at Step S102), when the connection destination matching the connection destination is not found (No at Step S104), and the number of linked hosts of the connection destination host Is equal to or less than the predetermined value (No at Step S105), the
[実施例1に係る解析システムによる応答処理の手順]
次に、実施例1に係る解析システム400による応答処理の手順を説明する。図8は、実施例1に係る解析システム400による応答処理の手順を示すフローチャートである。図8に示すように、実施例1に係る解析システム400においては、応答処理部64がマルウェアの通信データを受信すると(ステップS201肯定)、受信したマルウェアの通信データの接続先が許可されているか否かを判定する(ステップS202)。
[Procedure for response processing by analysis system according to embodiment 1]
Next, a response process procedure performed by the
ここで、接続先が許可されている場合には(ステップS202肯定)、応答処理部64は、マルウェアの通信データを接続先に送信する(ステップS203)。そして、応答処理部64は、マルウェアの通信データに対する応答データを接続先から受信する(ステップS204)。その後、応答処理部64は、受信した応答データをマルウェア実行部62に転送して(ステップS205)、処理を終了する。
If the connection destination is permitted (Yes at Step S202), the
一方、接続先が許可されていない場合には(ステップS202否定)、応答処理部64は、マルウェアの通信データに応じた応答データを生成する(ステップS206)。そして、応答処理部64は、生成した応答データをマルウェア実行部62に転送して(ステップS207)、処理を終了する。
On the other hand, when the connection destination is not permitted (No at Step S202), the
[実施例1の効果]
上述したように、実施例1によれば、不正プログラムの挙動を解析する解析装置と、ネットワークに接続された接続先に関する情報を記憶するデータベースとを含む解析システムにおいて、マルウェア実行部62がコンピュータ内で不正な動作を行うマルウェアを実行する。そして、接続判定部63がマルウェア実行部62によって実行されたマルウェアが接続を要求する接続先に関する情報をデータベース220に問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先か否かを判定する。そして、応答処理部64が接続判定部63により接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行ってマルウェアに対する応答を取得する。従って、実施例1に係る解析システム400は、接続先が正規の接続先である場合には通信を行わず、接続先が悪性の接続先の場合にのみ通信を行うことができ、ネットワークからの応答を要するマルウェアの挙動を安全に解析することを可能にする。
[Effect of Example 1]
As described above, according to the first embodiment, in the analysis system including the analysis device that analyzes the behavior of the malicious program and the database that stores the information about the connection destination connected to the network, the
また、実施例1によれば、接続判定部63は、接続先のIPアドレス又はFQDNを接続先の情報としてデータベースに問い合わせ、当該IPアドレス又はFQDNが前記データベースによって記憶されていなかった場合に、当該接続先を通信が許可された接続先であると判定する。従って、実施例1に係る解析システム400は、容易に悪性の接続先を特定でき、ネットワークからの応答を要するマルウェアの挙動の安全な解析を容易に実現することを可能にする。
Further, according to the first embodiment, the
また、実施例1によれば、接続判定部63は、データベース220によって接続先のIPアドレス又はFQDNが記憶されていた場合には、当該接続先に関連する他の接続先の数をデータベースにさらに問い合わせ、他の接続先の数が所定の閾値以下であった場合には、IPアドレス又はFQDNが記憶されていた接続先を通信が許可された接続先であると判定する。従って、実施例1に係る解析システム400は、悪性の接続先について細かな判定をすることができ、判定の精度を高めることを可能にする。
According to the first embodiment, when the connection destination IP address or the FQDN is stored in the
また、実施例1によれば、許可リスト記憶部52は、マルウェアの動作の対象として事前に許可された接続先に関する情報を記憶する。そして、接続判定部63は、マルウェアによって要求された接続先に関する情報が許可リスト記憶部52によって記憶されていた場合に、当該接続先を通信が許可された接続先であると判定する。従って、実施例1に係る解析システム400は、検索にかかる処理を省くことができ、解析を迅速に行うことを可能にする。
Further, according to the first embodiment, the permission
また、実施例1によれば、接続判定部63は、接続先に関する情報がデータベース220によって記憶されており、かつ接続先に関連する他の接続先の数が所定の閾値を超えていた場合には、接続先を通信が許可されていない接続先であると判定する。そして、応答処理部64は、接続判定部63により接続先が通信を許可されていない接続先であると判定された場合に、マルウェアに対する応答を生成し、生成した応答をマルウェアに転送する。従って、実施例1に係る解析システム400は、ネットワークとの接続を要しないマルウェアについても解析することを可能にする。
In addition, according to the first embodiment, the
さて、これまで実施例1について説明したが、上述した実施例1以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、種々の異なる実施例を(1)〜(7)に区分けして説明する。 Although the first embodiment has been described above, the present invention may be implemented in various different forms other than the first embodiment described above. Therefore, in the following, various different embodiments will be described by being divided into (1) to (7).
(1)接続先の情報
上述した実施例1では、接続先に関する情報としてIPアドレス又はFQDNを用いる場合について説明した。しかしながら、本実施例はこれに限定されるものではなく、例えば、接続先に関する情報としてURL(Uniform Resource Locator)を用いる場合であってもよい。例えば、URLを用いる場合には、許可リスト記憶部52は、解析者が入力部20を介して予め入力したり、過去の解析において通信が許可されたりしたURLの許可リストを記憶する。
(1) Information of connection destination In the above-described first embodiment, the case where an IP address or FQDN is used as information regarding a connection destination has been described. However, the present embodiment is not limited to this. For example, a URL (Uniform Resource Locator) may be used as information regarding a connection destination. For example, when a URL is used, the permission
そして、接続判定部63は、マルウェアが要求したURLを受信すると、まず、受信したURLが許可リスト記憶部52によって記憶されているか否かを判定する。ここで、受信したURLが許可リスト記憶部52によって記憶されていた場合には、接続先を悪性の接続先として判定する。一方、受信したURLが許可リスト記憶部52によって記憶されていない場合には、接続判定部63は、検索サーバ200に対して受信したURLを送信する。そして、接続判定部63は、検索サーバ200に送信したURLを検索させる。
Then, when receiving the URL requested by the malware, the
ここで、検索させたURLがデータベース220によって記憶されていない場合には、接続判定部63は、接続先を悪性の接続先として判定する。一方、検索させたURLがデータベース220によって記憶されていた場合には、接続判定部63は、検索サーバ200にURLの被リンク数をさらに検索させる。ここで、被リンク数が所定の閾値以下であった場合には、接続判定部63は、接続先を悪性の接続先として判定する。一方、被リンク数が所定の閾値を超えていた場合には、接続判定部63は、接続先を正規の接続先と判定する。
If the searched URL is not stored in the
上述したように、本実施例に係る解析システムは、IPアドレス及びFQDN以外に、URLを用いて接続先の判定処理を実行する。従って、本実施例に係る解析システムは、IPアドレス及びFQDNを用いる場合よりも、より詳細な判定処理を実行することができる。例えば、本実施例に係る解析システムは、同一のホストにおける異なる接続先を区別した判定処理ができる。 As described above, the analysis system according to the present embodiment executes a connection destination determination process using a URL in addition to the IP address and the FQDN. Therefore, the analysis system according to the present embodiment can execute more detailed determination processing than when the IP address and the FQDN are used. For example, the analysis system according to the present embodiment can perform a determination process in which different connection destinations in the same host are distinguished.
(2)検索エンジン
上述した実施例1では、接続先を1つの検索エンジンで検索する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、複数の検索エンジンを用いる場合であってもよい。かかる場合には、複数の検索結果を総合して判定する場合であってもよい。例えば、検索に用いた複数の検索エンジンの数の内、所定の数の検索エンジンで接続先がヒットしない場合に、接続先を悪性の接続先として判定する。また、複数の検索結果から任意の結果を抽出して、抽出した結果に基づいて判定する場合であってもよい。
(2) Search engine In the above-described first embodiment, the case where the connection destination is searched by one search engine has been described. However, the present embodiment is not limited to this, and for example, when a plurality of search engines are used. It may be. In such a case, it may be a case where a plurality of search results are collectively determined. For example, when the connection destination does not hit with a predetermined number of search engines among the plurality of search engines used for the search, the connection destination is determined as a malignant connection destination. Further, it may be a case where an arbitrary result is extracted from a plurality of search results and a determination is made based on the extracted result.
(3)変形例
上述した実施例1では、1つの検索エンジンを用いて被リンク数を検索する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、複数の検索エンジンを用いる場合であってもよい。図9は、変形例を示す図である。図9においては、検索サイト「AAA」、「BBB」及び「CCC」における「www.malware.com」のリンク検索を実行した検索結果を示している。図9の検索サイトとは、検索に用いられた検索エンジンを意味している。また、図9の被リンク数とは、接続先をリンクしている他のコンテンツの数を意味している。
(3) Modified Example In the above-described first embodiment, the case of searching for the number of linked links using one search engine has been described. However, the present embodiment is not limited to this, for example, a plurality of search engines. May be used. FIG. 9 is a diagram showing a modification. FIG. 9 shows a search result obtained by executing a link search of “www.malware.com” in the search sites “AAA”, “BBB”, and “CCC”. The search site in FIG. 9 means a search engine used for the search. Further, the number of linked links in FIG. 9 means the number of other contents linked to the connection destination.
例えば、解析システム400は、図9に示すように、「www.malware.com」のリンク検索を実行して、「検索サイト:AAA、被リンク数:2」とする検索結果を得る。同様に、解析システム400は、図9に示すように、「検索サイト:BBB、被リンク数:4」、「検索サイト:CCC、被リンク数:1」とする検索結果を得る。
For example, as shown in FIG. 9, the
ここで、被リンク数に関する判定処理が実行される場合に、各検索サイトでヒットした被リンク数の合計数を所定の閾値と比較して判定する場合であってもよい。また、被リンク数が最大となった検索サイトの被リンク数と所定の閾値を比較して判定する場合であってもよい。 Here, when the determination process regarding the number of linked links is executed, the determination may be made by comparing the total number of linked links hit at each search site with a predetermined threshold. Alternatively, the determination may be made by comparing the number of linked sites of the search site with the maximum number of linked links with a predetermined threshold.
(4)判定処理
上述した実施例1では、接続先のIPアドレス又はFQDNがデータベース220に記憶されていた場合に、被リンク数を用いた判定処理を実行する例について説明した。しかしながら、本実施例はこれに限定されるものではなく、例えば、接続先のIPアドレス又はFQDNの検索のみで判定処理を行う場合であってもよい。すなわち、被リンク数を用いた判定処理を実行しない場合であってもよい。
(4) Determination Process In the above-described first embodiment, the example in which the determination process using the number of linked links is executed when the connection destination IP address or the FQDN is stored in the
(5)応答処理
上述した実施例1では、応答処理部64がマルウェア実行部62に対して応答データを転送する場合について説明したが、本実施例はこれに限定されるものではなく、例えば、応答データをマルウェア実行部62に転送しない場合でもよい。例えば、接続先との通信が許可されなかった場合に、応答処理部64が応答データを生成しない場合であってもよい。また、接続先との通信が許可された場合であっても、応答処理部64が応答データをマルウェア実行部62に転送しない場合であってもよい。
(5) Response processing In the above-described first embodiment, the case where the
(6)システム構成等
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示された構成要素と同一であることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図1に示す解析データ記憶部51と許可リスト記憶部52とを一つの記憶部として統合してもよい。また、一方で、図1に示す接続判定部63を、検索サーバ200にコマンドを送信するコマンド実行部と、検索サーバ200の検索結果に基づいて判定処理を実行する判定部とに分散してもよい。
(6) System Configuration Each component of each illustrated device is functionally conceptual and does not necessarily need to be the same as the physically illustrated component. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. For example, the analysis
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。例えば、図8における接続先が許可されているか否かの判定を手動で行ってもよい。また、接続判定部63を解析装置100の外部装置としてネットワーク経由で接続するようにしてもよい。また、接続判定部63を別の装置が有し、ネットワークに接続されて協働することで、上記した解析システム400の機能を実現するようにしてもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
In addition, all or some of the processes described as being automatically performed among the processes described in the present embodiment can be manually performed. For example, it may be manually determined whether or not the connection destination in FIG. 8 is permitted. Further, the
(7)解析プログラム
ところで、上記実施例1では、ハードウェアロジックによって各種の処理を実現する場合を説明したが、本実施例はこれに限定されるものではなく、予め用意されたプログラムをコンピュータで実行するようにしてもよい。そこで、以下では、図10を用いて上記実施例1に示した解析装置100と同様の機能を有する解析プログラムを実行するコンピュータの一例を説明する。図10は、解析プログラムを実行するコンピュータを示す図である。
(7) Analysis Program In the first embodiment, the case where various processes are realized by hardware logic has been described. However, the present embodiment is not limited to this, and a program prepared in advance is executed by a computer. You may make it perform. In the following, an example of a computer that executes an analysis program having the same function as that of the
図10に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブインタフェース1030とを有する。また、図10に示すように、コンピュータ1000は、例えば、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
As shown in FIG. 10, the computer 1000 includes, for example, a
メモリ1010は、図10に示すように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図10に示すように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図10に示すように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図10に示すように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図10に示すように、例えばディスプレイ1130に接続される。
As shown in FIG. 10, the
ここで、図10に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、解析プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクに記憶される。具体的には、上述した実施例で説明したマルウェア実行部62と同様の情報処理を実行する実行手順と、接続判定部63と同様の情報処理を実行する判定手順と、応答処理部64と同様の情報処理を実行する応答処理手順とが記述されたプログラムモジュールが、ハードディスクに記憶される。
Here, as shown in FIG. 10, the hard disk drive 1090 stores, for example, an OS (Operating System), application programs, program modules, and program data. That is, the analysis program is stored, for example, on a hard disk as a program module in which a command executed by the computer 1000 is described. Specifically, an execution procedure for executing the same information processing as the
また、上述した実施例で説明した許可リスト記憶部52に記憶されるデータのように、解析プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクに記憶される。そして、CPU1020が、ハードディスクに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM1012に読み出し、実行手順、判定手順、応答処理手順を実行する。
Further, like the data stored in the permission
なお、解析プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、解析プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPU1020によって読み出されてもよい。
Note that the program module and program data related to the analysis program are not limited to being stored in the hard disk, but may be stored in, for example, a removable storage medium and read out by the
62 マルウェア実行部
63 接続判定部
64 応答処理部
100 解析装置
101、102、103 接続先
220 データベース
300 ネットワーク
400 解析システム
62
Claims (8)
解析装置が、
コンピュータ内で不正な動作を行う不正プログラムを実行する実行手段と、
前記実行手段によって実行された不正プログラムが接続を要求する接続先に関する情報を前記データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手段と、
前記判定手段により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手段と
を有することを特徴とする解析システム。 An analysis system that includes an analysis device that analyzes the behavior of a malicious program and a database that stores information about connection destinations connected to a network,
Analysis device
Execution means for executing a malicious program that performs unauthorized operations in a computer;
A determination as to whether or not the connection destination is a connection destination that is permitted to communicate based on the result of the inquiry by querying the database for information on a connection destination to which a malicious program executed by the execution means requests connection. Means,
Response processing means for communicating with the connection destination and acquiring a response to the malicious program when the determination means determines that the connection destination is a connection destination permitted to communicate. Analysis system.
前記判定手段は、前記不正プログラムによって要求された接続先に関する情報が前記記憶手段によって記憶されていた場合に、当該接続先を通信が許可された接続先であると判定することを特徴とする請求項1〜3のいずれか一つに記載の解析システム。 A storage means for storing information related to a connection destination permitted in advance as an operation target of the malicious program;
The determination unit determines that the connection destination is a connection destination permitted to communicate when the storage unit stores information on the connection destination requested by the malicious program. Item 4. The analysis system according to any one of Items 1 to 3.
前記応答処理手段は、前記判定手段により前記接続先が通信を許可されていない接続先であると判定された場合に、前記不正プログラムに対する応答を生成し、生成した応答を前記不正プログラムに転送することを特徴とする請求項1〜3のいずれか一つに記載の解析システム。 When the information on the connection destination is stored in the database and the number of other connection destinations related to the connection destination exceeds a predetermined threshold, the determination unit communicates with the connection destination. Determine that the connection is not allowed,
The response processing unit generates a response to the malicious program and transfers the generated response to the malicious program when the determination unit determines that the connection destination is a connection destination that is not permitted to communicate. The analysis system according to any one of claims 1 to 3.
前記実行手段によって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手段と、
前記判定手段により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手段と、
を有することを特徴とする解析装置。 Execution means for executing a malicious program that performs unauthorized operations in a computer;
A determination as to whether or not the connection destination is a connection destination that is permitted to communicate based on the result of the inquiry by querying an external database for information on the connection destination to which the malicious program executed by the execution means requests connection. Means,
A response processing unit configured to communicate with the connection destination and obtain a response to the malicious program when the determination unit determines that the connection destination is a connection destination permitted to communicate;
The analysis apparatus characterized by having.
前記実行ステップによって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定ステップと、
前記判定ステップにより前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理ステップと、
を含んだことを特徴とする解析方法。 An execution step of executing a malicious program that performs an illegal operation in the computer;
Determination of whether or not the unauthorized program executed in the execution step queries an external database for information on a connection destination that requests connection, and determines whether or not the connection destination is a connection destination permitted to communicate based on the result of the inquiry Steps,
A response processing step of communicating with the connection destination and obtaining a response to the malicious program when the determination is made that the connection destination is a connection destination permitted to communicate;
The analysis method characterized by including.
前記実行手順によって実行された不正プログラムが接続を要求する接続先に関する情報を外部データベースに問い合わせ、問い合わせの結果に基づいて当該接続先が通信を許可された接続先であるか否かを判定する判定手順と、
前記判定手順により前記接続先が通信を許可された接続先であると判定された場合に、当該接続先と通信を行って前記不正プログラムに対する応答を取得する応答処理手順と、
コンピュータに実行させることを特徴とする解析プログラム。 An execution procedure for executing a malicious program that performs an illegal operation in the computer;
A determination as to whether or not the connection destination is a connection destination permitted to communicate based on the result of the inquiry by querying an external database for information on the connection destination to which the malicious program executed by the execution procedure requests connection. Procedure and
If it is determined by the determination procedure that the connection destination is a connection destination permitted to communicate, a response processing procedure for communicating with the connection destination and obtaining a response to the malicious program;
An analysis program that is executed by a computer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010130722A JP5389739B2 (en) | 2010-06-08 | 2010-06-08 | Analysis system, analysis apparatus, analysis method, and analysis program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010130722A JP5389739B2 (en) | 2010-06-08 | 2010-06-08 | Analysis system, analysis apparatus, analysis method, and analysis program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011257901A true JP2011257901A (en) | 2011-12-22 |
| JP5389739B2 JP5389739B2 (en) | 2014-01-15 |
Family
ID=45474035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010130722A Active JP5389739B2 (en) | 2010-06-08 | 2010-06-08 | Analysis system, analysis apparatus, analysis method, and analysis program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5389739B2 (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013171556A (en) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | Program analysis system and method |
| WO2014175250A1 (en) * | 2013-04-23 | 2014-10-30 | 日本電気株式会社 | Communication terminal, control apparatus, communication system, communication method and program |
| WO2014188780A1 (en) * | 2013-05-20 | 2014-11-27 | 日本電信電話株式会社 | Information processing device and identifying method |
| JP2015130008A (en) * | 2014-01-06 | 2015-07-16 | 富士通株式会社 | Dynamic analysis method and dynamic analyzer |
| WO2015194438A1 (en) * | 2014-06-17 | 2015-12-23 | 日本電信電話株式会社 | Information processing system, control method, and control program |
| JP2016038627A (en) * | 2014-08-05 | 2016-03-22 | Kddi株式会社 | Monitoring system, observation apparatus, analyzer, monitoring method, and computer program |
| JP2016057767A (en) * | 2014-09-08 | 2016-04-21 | Kddi株式会社 | Analyzer, analysis method and computer program |
| US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009181335A (en) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | Analysis system, analysis method, and analysis program |
-
2010
- 2010-06-08 JP JP2010130722A patent/JP5389739B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009181335A (en) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | Analysis system, analysis method, and analysis program |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013171556A (en) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | Program analysis system and method |
| WO2014175250A1 (en) * | 2013-04-23 | 2014-10-30 | 日本電気株式会社 | Communication terminal, control apparatus, communication system, communication method and program |
| JP5965059B2 (en) * | 2013-05-20 | 2016-08-03 | 日本電信電話株式会社 | Information processing apparatus and identification method |
| WO2014188780A1 (en) * | 2013-05-20 | 2014-11-27 | 日本電信電話株式会社 | Information processing device and identifying method |
| US10097567B2 (en) | 2013-05-20 | 2018-10-09 | Nippon Telegraph And Telephone Corporation | Information processing apparatus and identifying method |
| CN105247533A (en) * | 2013-05-20 | 2016-01-13 | 日本电信电话株式会社 | Information processing device and identifying method |
| CN105247533B (en) * | 2013-05-20 | 2017-12-12 | 日本电信电话株式会社 | Information processor and determination method |
| JP2015130008A (en) * | 2014-01-06 | 2015-07-16 | 富士通株式会社 | Dynamic analysis method and dynamic analyzer |
| JP6018346B2 (en) * | 2014-06-17 | 2016-11-02 | 日本電信電話株式会社 | Information processing system, control method, and control program |
| WO2015194438A1 (en) * | 2014-06-17 | 2015-12-23 | 日本電信電話株式会社 | Information processing system, control method, and control program |
| US10248790B2 (en) | 2014-06-17 | 2019-04-02 | Nippon Telegraph And Telephone Corporation | Information processing system, controlling method, and controlling computer program |
| JP2016038627A (en) * | 2014-08-05 | 2016-03-22 | Kddi株式会社 | Monitoring system, observation apparatus, analyzer, monitoring method, and computer program |
| JP2016057767A (en) * | 2014-09-08 | 2016-04-21 | Kddi株式会社 | Analyzer, analysis method and computer program |
| US10491628B2 (en) | 2014-09-17 | 2019-11-26 | Mitsubishi Electric Corporation | Attack observation apparatus and attack observation method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5389739B2 (en) | 2014-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5389739B2 (en) | Analysis system, analysis apparatus, analysis method, and analysis program | |
| US10164993B2 (en) | Distributed split browser content inspection and analysis | |
| JP5396051B2 (en) | Method and system for creating and updating a database of authorized files and trusted domains | |
| US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
| KR102271545B1 (en) | Systems and Methods for Domain Generation Algorithm (DGA) Malware Detection | |
| JP6687761B2 (en) | Coupling device, coupling method and coupling program | |
| WO2018076697A1 (en) | Method and apparatus for detecting zombie feature | |
| JP5752642B2 (en) | Monitoring device and monitoring method | |
| JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
| CN109688153A (en) | Use threat detection on the zero of host application/program to user agent mapping | |
| JP6169497B2 (en) | Connection destination information determination device, connection destination information determination method, and program | |
| JP6666475B2 (en) | Analysis apparatus, analysis method and analysis program | |
| US9124472B1 (en) | Providing file information to a client responsive to a file download stability prediction | |
| US20230171267A1 (en) | Selective security scan to reduce signature candidates | |
| KR20100124441A (en) | Apparatus and method for inspecting a contents and controlling apparatus of malignancy code | |
| JP6478730B2 (en) | Malignant URL candidate acquisition device, malignant URL candidate acquisition method, and program | |
| JP6286314B2 (en) | Malware communication control device | |
| JP6676790B2 (en) | Request control device, request control method, and request control program | |
| US11966477B2 (en) | Methods and apparatus for generic process chain entity mapping | |
| Wu et al. | Detection of Android Malware Behavior in Browser Downloads | |
| JP5456636B2 (en) | File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program | |
| Yang et al. | A Method for Acquiring Network Information from Linux Memory Image in Software-Defined Networking | |
| Ikinci | Monkey-spider: Detecting malicious web sites |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120626 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130703 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130730 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131009 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5389739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |